2. 程式人生 > 其它 >配置kerberos_死磕到底系列:開啟kerberos的hadoop叢集,zookeeper認證配置詳解

配置kerberos_死磕到底系列:開啟kerberos的hadoop叢集,zookeeper認證配置詳解

阿新 發佈:2021-01-16

技術標籤:配置kerberos

dc26ee4dbbc39f79ef76ea2edbf8762b.png

背景

目前叢集開啟kerberos大概分為兩種:一種是在建立叢集的時候,同步開啟kerberos認證;還有一種就是叢集部署完成之後,再手動開啟kerberos認證。隨著kerberos認證在現場中使用頻率愈來愈高,問題也是頻發不斷。最近有客戶反饋叢集開啟了kerberos認證,zookeeper的sasl安全管理存在問題。

問題大概描述如下:

1. zookeeper client進行sasl認證,如果jaas檔案和keytab檔案及principal都ok,可以連線成功,正常使用。

2. zookeeper client進行sasl認證,如果jaas檔案和keytab檔案及principal有不ok的,連線不成功,不能正常使用。

3. zookeeper client不進行sasl認證,直接連線,可以連線成功,正常使用。

問題定位

關於這一塊的疑問,社群也是討論了一波。認證的目的肯定是為了做許可權管理,不認證也能連線,怎麼進行許可權管理?有人說這是bug,社群並不予以支援。詳細的描述在ZOOKEEPR-1736中,比較關鍵的一段描述如下:

https://issues.apache.org/jira/browse/ZOOKEEPER-1736

BecauseZKauthenticationispluggable(therefore,SASLisonlyonepossibleoptionoutofseveral)andauthmethodisspecifiedperACL,itisstrictlyspeakingincorrecttorejectconnectionsthatdon'tauthwithSASL,becausetheymightbeabletoauthwithanothermethodtoaccessznodesthatdonothave"sasl"authspecifiedasauthmethod.ThiswasthethinkingwhenSASLintegrationforZKwasdeveloped.OtherwisewewouldhavewrappedthewholeconnectionwithSASL,nottunneledSASLauthinsidetheZKprotocol.So this not a "security issue" as such - it is a deliberate design choice.On the other hand, providing some additional configuration toggle to enforce SASL authentication exclusively can be done. If the ZK devs want to commit it. TLS authentication doesn't work this way. When you use TLS if you can't auth at connection setup it doesn't matter what auth methods are specified by ACLs. In this sense, security design in ZK is inconsistent.

大概意思就是說zookeeper認證是外掛化的,sasl只是認證方式中的一種,zookeeper sasl認證允許匿名使用者登入,意思就是說這玩意就是這麼設計的。認證肯定是用來對zookeeper做許可權管理的。但是對於指定節點目錄的許可權管理,還需要結合其對應的ACL配置使用。

比如:在開啟kerberos叢集中,kafka服務在zookeeper中使用的一些節點目錄,其ACL直接設定為anyone可以讀(r),但是隻有程序sasl認證的kafka使用者才有全部許可權(cdrwa)。從這一點來講,kafka用zookeeper儲存的內容也實現了許可權管理的效果。

準確的說,所有zookeeper client都進行了sasl認證,只不過不載入jaas檔案時候,是sasl認證失敗,自動跳過轉為嘗試直接連線的方式。

不停的去檢測認證雖然對功能沒有什麼影響,但是比較耗費伺服器效能,可以通過設定系統引數(zookeeper.client.sasl)為false來禁用sasl認證。

這一點在社群的ZOOKEEPER-1657有詳細的描述 https://issues.apache.org/jira/browse/ZOOKEEPER-1657

相關推薦

配置kerberos_到底系列開啟kerberos的hadoop叢集zookeeper認證配置

技術標籤:配置kerberos 背景 目前叢集開啟kerberos大概分為兩種一種是在建立叢集的時候同步開啟kerberos認證;還有一種就是叢集部署完成之後再手動開啟kerberos認證。隨著kerberos認證在現場中使用頻率

大廠高階工程師面試必問系列Java動態代理機制和實現原理

代理模式 Java動態代理運用了設計模式中常用的代理模式 代理模式: 目的就是為其他物件提供一個代理用來控制對某個真實物件的訪問

面渣逆襲三萬字七十圖計算機網路六十二問(建議收藏)

新年第一篇開工大吉虎年“豹”富!面渣逆襲系列繼續三萬字+七十圖六十二道網路面試題!強烈建議收藏!

開啟order by的大門一探究竟《MySQL系列 十二》

https://www.cnblogs.com/fkaka/p/15612010.html 在日常開發工作中你一定會經常遇到要根據指定欄位進行排序的需求。

原來一條select語句在MySQL是這樣執行的《MySQL系列 一》

前言 看到蔣老師的第一篇文章後就收貨頗豐真是句句戳中痛點。 令我記憶最深的就是為什麼知道了一個個技術點卻還是用不好 ?不管是蔣老師所說的Redis還是本系列要展開學習的MySQL。

MySQL強人“鎖”難《MySQL系列 三》

系列文章 一、原來一條select語句在MySQL是這樣執行的《MySQL系列 一》 二、一生摯友redo log、binlog《MySQL系列 二》

如何選擇普通索引和唯一索引《MySQL系列 五》

系列文章 一、原來一條select語句在MySQL是這樣執行的《MySQL系列 一》 二、一生摯友redo log、binlog《MySQL系列 二》

字串可以這樣加索引你知嗎?《MySQL系列 七》

系列文章 三、MySQL強人“鎖”難《MySQL系列 三》 四、S 鎖與 X 鎖的愛恨情仇《MySQL系列 四》

無法復現的“慢”SQL《MySQL系列 八》

系列文章 四、S 鎖與 X 鎖的愛恨情仇《MySQL系列 四》 五、如何選擇普通索引和唯一索引《MySQL系列 五》

為什麼不讓用join?《MySQL系列 十六》

大家好我是咔咔 不期速成日拱一卒 在平時開發工作中join的使用頻率是非常高的很多SQL優化博文也讓把子查詢改為join從而提升效能但部分公司的DBA又不讓用那麼使用join到底有什麼問題呢?

雷鳥釋出鵬 6 系列遊戲電視金屬全面屏3+32GB 配置全新遙控器

4 月 17 日訊息雷鳥現已釋出鵬 6 系列遊戲電視官方稱這是一款誠意之作希望使用者可以在有限的預算內有更好的選擇。目前鵬 6 系列遊戲電視價格尚未公佈官方稱將在近期預售。據介紹這款電視在原有的單個全

MySQL系列」之一生摯友redo log、binlog

尊重原創版權: https://www.gewuweb.com/hot/10322.html 「MySQL系列」之一生摯友redo log、binlog

Python辦公自動化系列自動整理檔案減少工作時間

本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯絡我們以作處理

蘋果視訊服務 Apple TV + 將“單飛”開啟付費後還能留住使用者嗎

北京時間 6 月 28 日早間訊息據報道蘋果推出網路視訊服務“Apple TV+”角逐視訊市場大蛋糕眼下蘋果視訊到了一個結束培育期、正式單飛的關鍵時刻。

Windows 10 配置Git 環境變數(還有安裝git後滑鼠右鍵沒有“git bush here”)

Windows 10 配置Git 環境變數(還有安裝git後滑鼠右鍵沒有“git bush here”) 一、環境變數配置

Nexon 正統手遊《冒險島楓之傳說》首次限量刪檔測試開啟開啟未成年人保護目前僅支援安卓

10 月 13 日訊息感謝網友熱心線索投遞NEXON 經典 2D 橫版 MMORPG 全新官方正版手遊《冒險島楓之傳說》國服今日正式到來首次限量刪檔體驗時間為 10 月 13 日上午 10 點至 10 月 20 日上午 10 點。據悉本次

鎧俠釋出 EXCERIA PLUS 移動固態硬碟系列最高 1050MB/s最大 2TB

11 月 10 日訊息鎧俠電子(中國)有限公司宣佈於 11 月 9 日釋出“EXCERIA PLUS 極至光速”移動固態硬碟系列。該系列產品採用全新小巧緊湊的流線型設計可儲存高達 2TB 的資料。開箱即用相容多種主機裝置包括

微軟 Win11/10 Edge 瀏覽器 101 穩定版釋出整合 PWA Hub改進預設配置檔案

感謝網友 晾衣杆劍客 的線索投遞!

ElasticSearch實戰系列二: ElasticSearch的DSL語句使用教程---圖文

前言 在上一篇中介紹了ElasticSearch叢集和kinaba的安裝教程本篇文章就來講解下 ElasticSearch的DSL語句使用。

MySql學習day03資料表之間的連線、查詢

主鍵 關鍵字primary key 特點不能為null並且唯一。 主鍵分類 邏輯主鍵:例如ID,不代表實際的業務意義,只是用來唯一標識一條記錄(推薦)